 |
Los atacantes están imitando cada vez más aplicaciones legítimas como Skype, Adobe Reader y VLC Player como medio para abusar de las relaciones de confianza y aumentar la probabilidad de un ataque de ingeniería social exitoso. Otras de las aplicaciones legítimas más suplantadas por iconos son 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom y WhatsApp, según ha revelado un análisis de VirusTotal. |
"Uno de los trucos de ingeniería social más sencillos que hemos visto consiste en hacer que una muestra de malware parezca un programa legítimo", dijo VirusTotal en un informe del martes. "El icono de estos programas es una característica crítica utilizada para convencer a las víctimas de que estos programas son legítimos".
No es de extrañar que los atacantes recurran a una variedad de enfoques para comprometer los puntos finales engañando a los usuarios desprevenidos para que descarguen y ejecuten ejecutables aparentemente inocuos.
Esto, a su vez, se consigue principalmente aprovechando dominios genuinos en un intento de burlar las defensas de los cortafuegos basados en la IP. Algunos de los dominios más abusados son discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com y qq[.]com.
En total, se han detectado nada menos que 2,5 millones de archivos sospechosos descargados desde 101 dominios pertenecientes a los 1.000 mejores sitios web de Alexa.
El uso indebido de Discord ha sido bien documentado, ya que la red de entrega de contenidos (CDN) de la plataforma se ha convertido en un terreno fértil para alojar malware junto con Telegram, al tiempo que ofrece un "centro de comunicaciones perfecto para los atacantes."
Otra técnica muy utilizada es la práctica de firmar el malware con certificados válidos robados a otros fabricantes de software. El servicio de escaneo de malware dijo que encontró más de un millón de muestras maliciosas desde enero de 2021, de las cuales el 87% tenía una firma legítima cuando se subieron por primera vez a su base de datos.
VirusTotal dijo que también descubrió 1.816 muestras desde enero de 2020 que se hicieron pasar por software legítimo al empaquetar el malware en instaladores para otro software popular como Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox y Proton VPN.
Este método de distribución también puede dar lugar a un ataque a la cadena de suministro cuando los adversarios consiguen entrar en el servidor de actualización de un software legítimo o consiguen acceso no autorizado al código fuente, lo que permite colar el malware en forma de binarios troyanizados.
Por otra parte, los instaladores legítimos están siendo empaquetados en archivos comprimidos junto con archivos llenos de malware, en un caso incluyendo el instalador legítimo de Proton VPN y el malware que instala el ransomware Jigsaw.
Y eso no es todo. Un tercer método, aunque más sofisticado, consiste en incorporar el instalador legítimo como un recurso ejecutable portátil dentro de la muestra maliciosa, de modo que el instalador también se ejecuta cuando se ejecuta el malware, para dar la ilusión de que el software funciona como está previsto.
"Al pensar en estas técnicas en su conjunto, se podría concluir que existen tanto factores oportunistas de los que los atacantes pueden abusar (como los certificados robados) a corto y medio plazo, como procedimientos rutinarios (muy probablemente) automatizados en los que los atacantes pretenden replicar visualmente las aplicaciones de diferentes maneras", afirman los investigadores.
Fuente: https://thehackernews.com/2022/08/virustotal-reveals-most-impersonated.html